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© Verfahren zur Authentifikation zwischen zwei elektronischen Einrichtungen 

© Das Verf ehrtn zur Authentifikation woist folgonde Schritte 
auf: 

Generieren wenigstons zweier Zufollszahlen. Obermittein der 
beiden Zufallszahlen, so daft beido in beiden Stationen zur 
Verfugung stehen. Verschlussolung der Zufallszahlen in 
beiden Stationen zu jeweils einen joder Zufallszahl zugehori- 
gen Kryptogramm. Obersonden eines Teils des orsten 
Kryptogramrns von einer Station an die andere Station. 
Vergleich des Kryptogrammteils in der anderen Station und 
bei Nichtubereinstimmung Abbruch der Ausgabe des restli- 
chen Kryptogramrns. Obersenden eines Teils des zweiten 
Kryptogramrns von der anderen Station. Vergleich des von 
der anderen Station gesendeten Kryptogrammteils in der 
einen Station und Abbruch des restlichen Kryptogramrns bei 
Nichtubereinstimmung. Wiederholung der Schritte a*) bis a) 
m.t den weiteren Teilen des Kryptogramrns. bis voHstandige 
Uberomstimmung vorliogt Oder Abbruch orfolgte. 
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Die Erfindung betrifft ein Verfahren zur Authentifi- 
kation zwischen zwei elektronischen Einrichtungen, wie 
z. B. Datenstationen. 

Ein derartiges Verfahren 1st z. B. aus der US 3 761 892 
bekannt Bei einem derartigen System werden von einer 
Station Daten an die andere Station Obermittelt, darauf- 
hin wird von der anderen Station das Datum mit einem 
Codeschlassel zu einem Kryptogramm verschlUsselt 
und schlieBlich zuriick an die erste Datenstation gesen- 
det Diese OberprUft, ob das Kryptogramm richtig ist, 
d. h. ob der von der einen Station bekannte Codeschltis- 
sel verwendet worden ist und damit die Datenstation 
zugangsberechtigt ist 

In der US 3.761,892 ist beschrieben, daB es h6chst 
wUnschenswert ist, daB das System inoperativ bleibt, so 
lange bis der komplette Datensatz/Kryptogramm uber- 
tragen worden ist, auch wenn bereits der erste Teil oder 
auch ein anderer Teil des Kryptogramms nicht mit ei- 
nem zul&ssigen Kryptogramm Ubereinstimmt Eine der- 
artige Vorgehensweise ?st bei diversen Datenstationen 
sicherlich sinnvoll, jedoch bei z. B. tragbaren Chipkarten 
kann eine derartige komplette Obertragung des Kryp- 
togramms dazu ftthren, daB ein nicht legitimicrter Be- 
nutzer mit einer gOltigen Karte die Obertragung von 
Authentifikationsvorgangen mittels geeigneter Einrich- 
tungen beobachtet und anhand der ermittelten Daten 
eine gultige Karte letztendlich simulieren kann. 

Aufgabe der vorliegenden Erfindung ist es, ein Ver- 
fahren anzugeben, welches die Nachbildung durch einen 
BetrUger wesentlich erschwert. 

Diese Aufgabe wird durch die Verfahrensschritte des 
kennzeichnenden Teils des Anspruchs 1 gelfist. Weiter- 
bildungen sind Kennzeichen der Unteransprilche. 

Vorteil der Erfindung ist es f daB bei der erfindungsge- 
maBen in wechsclseitigen Schritten vorzunehmenden 
Authentifikation zwischen den elektronischen Einrich- 
tungen im Fall eines versuchten Angriffs durch Nicht- 
flbereinstimmung der zu vergleichenden Einzelschrittin- 40 
formationen bereits zu Beginn des Vorgangs eine weite- 
re Ausgabe gesperrt werden kann und damit dem An- 
greifer keine nutzbringcnden Daten bekannt gemacht 
werden. Dadurch erhdht sich die Wahrscheinlichkeit, 
daB durch ein crzwungenes Protokoll. bei dem mit gro- 
Ber Sicherheit bereits nach wenigen Versuchen der Au- 
thentifikationsvorgang bereits abgebrochen werden 
kann und auch die Benutzung der Karte gesperrt wer- 
den kann, keine fur F&Ischungen wichtige Information 
nen preisgegebcn werden. 

Ein weiterer Vorteil des erfindungsgemSBcn Verfah- 
rens ist, daB die Authentifikation mit relativ geringem 
Aufwand erfolgen kann und dadurch keine allzu hohe 
Rechenjeistung fur die Datenstationen erforderlich ist, 
da ein wesentliches Angriffspotential entfailt Dies er- 
weist sich auch als besonders vorteilhaft bei der Ver- 
wendung einer Chipkarte als eine Datenstation. 

Fig. 1 zeigt eine Anordnung mit zwei Datenstationen 
BT, ST und einer Kopplungseinrichtung K zur Daten- 
Obertragung zwischen den Datenstationen. Eine derarti- 
ge Anordnung ist sowohl bei bisherigen Authentifika- 
tionsverfahren wie auch bei dem erfindungsgemaflen 
verwendbar. 

Nachfolgend wird das konventionelle Verfahren zur 
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diese Zufallszahl R ttber die Ankopplungsmittel K an 
den beweglichen Datentrager BT t der z. B. eine Chip- 
karte sein kann. AnschlieBend verschlUsselt die stationa- 
re Station ST die Zufallszahl R mit einem Geheim- 
schlflssel GS. Der bewegliche Datentrager BT empfangt 
die Zufallszahl R und verschlUsselt sie mit dem Geheim- 
schlUssel GS, der ebenfalls auf dem beweglichen Daten- 
trager BT gespeichert isL Das so erhaltene Krypto- 
gramm wird dann wiederum Uber die Kopplungsmittel 
K an die stationare Station ST gesendet Die stationare 
Station ST empfangt das Kryptogramm und vergleicht 
dieses mit dem eigenen berechneten Kryptogramm. Bei 
Obereinstimmung wird der bewegliche Datentrager als 
echt erkannt 

Umgekehrt kann ein analoges Verfahren zur Authen- 
tifikation des Terminals erfolgen, hier wird jedoch das 
Kryptogramm der stationaren Station an den bewegli- 
chen Datentrager gesendet und der Vergleich erfolgt im 
beweglichen Datentrager. 

Wie bereits zuvor beschrieben, kann bei der angege- 
benen Reihenfolge der gegenseitigen Authentifikation 
der bewegliche Daten trager durch eine Abfrageelektro- 
nik, z. B. ein falsches Terminal, zur Ausgabe eines einer 
eingegebenen Information zugeordneten Krypto- 
25 gramms veranlaflt werden. Bei aus AufwandsgrUnden 
kleinem SchlUssel kann hieraus ein Angreifer durch 
Durchvariation der SchlUssel den zugeordneten Ge- 
heimschlOssel bestimmen. Hierbei handelt es sich um 
einen sogenannten gewahlten Klartext-Angriff. Wird 
die Reihenfolge der Authentifikation vertauscht, so 
kann z. B. mit Hilfe einer Dummykarte als beweglichen 
eine echte Schreib-Lesestation zur Ausgabe des zur ein- 
gegebenen Information zugehdrigen gesuchten Krypto- 
gramms veranlaBt werden. 

Die Verwendung eines GlobalschlQssels auf der PrUf- 
stellenseite schUtzt hier nicht da der dann von der Karte 
auszugebende Identifikator ID oder CID, der das ver- 
schlUsselte Geheimnis enthait, von der Karte vor der 
Authentifikation ausgegeben werden muB und damit 
einem Angreifer zugfinglich ist. 

Bei dem erfindungsgemaflen Verfahren erfolgt der 
Ablauf daher in folgendcn Schritten: 

Da das Geheimnis auf beiden Seiten, gegebenenfalls 
nach Obermittlung des Identifikators, bekannt ist, be- 
45 steht die Moglichkeit einer glefchzeitigen Berechnung 
der Authentifikationskryptogramme. So kann 2. B. die 
stationare Station ST eine Zufallszahl Rl generieren 
urA diese an den beweglichen Datentrager BT senden. 
Der bewegliche Datentrager BT emofangt die Zufalls- 
50 zahl Rl und generiert und sendet eine zweite Zufallszahl 
R2 an ST und beide, beweglicher Datentrager BT und 
stationare Station ST, verschlUsseln beide Zufallszahlen 
Rl , R2 mit einem GeheimschlOssel GS. Das so erhaltene 
Kryptogramm wird sowohl vom beweglichen Datentra- 
ger BT wie auch von der stationaren Station ST in meh- 
rere beliebige Teile unterteilt Dies kann soweit gehen, 
daB das Kryptogramm in seine einzelnen Bits unterteilt 
wird. Der bewegliche Teil BT sendet dann den ersten 
Teil des Kryptogramms von der Zufallszahl Rl an die 
60 stationare Station. Die stationare Station ST empfangt 
den ersten Teil des Kryptogramms von Rl und ver- 
gleicht diesen mit dem eigenen Kryptogrammteil von 
Rl. Daraufhin sendet die stationare Station ST den er- 
sten Teil des Kryptogramms von R2 an den beweglichen 
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Authentifikation am Beispiel der Obertragung zwischen 65 Datentrager BT. Der bewegliche Datentrager BT *emo- 
emem beweglichen Datentrager BT und einer stations- fangt den ersten Teil des Kryptogramms von R2 und 

vergleicht diesen mit dem eigenen Kryptogrammteil 
von R2. Daraufhin wiederholt sich der Vorgang mit den 



ren Schreib/Lesestation ST eriautert: Zuerst generiert 
die stationare Station ST eine Zufallszahl R und sendet 
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jeweiligcn anderen Teilen des Kryptogramms. 

Bei Nichtubereinstimmung der zu vergleichenden In- 
formationsschritte wird in geeigneter Weise die weitcre 
Ausgabe des Kryptogramms gesperrt. Da beim Fal- 
schungsyersuch bereits das erste Oder die ersten Bits der 3 
Authentifikation nicht Obereinstimmen. ist abhangig 
von der gewahlten Schri'tzahl die Ausgabe des jeweili- 
gen Teils eines Kryptogramms ftir einen BetrQger kaum 
von Nutzen. 

Der Anfangsschritt kann sowohl von der stationfcren 10 
Station als auch von dem beweglichen Datentrflger aus- 
gehen und wird vom wahrscheinlichsten Bedrohungsfall 
bestimmt. Der Vorgang kann mit einem Fehlerzahler 
auch zur endgiiltigen Spermng der Karte kombiniert 
werden. 

Desweiteren kann vorgesehen sein, daB bei Abbruch 
des Authentifikationsvorgangs weiterhin Zufallsfolgen 
ausgegeben werden. so daB die Abbruchstelle im Bits- 
trom von auOen nicht feststellbar ist. 

Patentansprilche 20 

1. Verfahren zur Authentifikation zwischen zwei 
elektronischen Einrichtungen, gekennzeichnet 
durchdieSohritte: 25 

a) Generieren wenigstens zweier Zufallszah- 
len, 

b) Obermitteln der beiden Zufa!lszah!en t so 
da3 beide sowohl in der ersten als auch in der 
zweiten Station verfQgbar sind. M 

c) VerschlUsselung der Zufallszahlen in beiden 
Stationen zu jeweils einem jeder Zufallszahl 
zugehSrigen Kryptogramm, 

d) Obersenden eines Teils des ersten Krypto- 
gramms von einer Station an die andere Sta- 15 
tion, 

e) Vergleich des Kryptogramm teils in der an- 
deren Station und bei NichtObereinstimmung 
Abbruch der weiteren Ausgabe des Krypto- 
gramms, 40 

f) Oberyenden eines Teils des zweiten Krypto- 
gramms von der anderen Station. 

g) Vergleich des von der anderen Station ge- 
sendeten Kryptogramm ieils in der einen Sta- 
tion und Abbruch der weiteren Ausgabe des 43 
Kryptogramms bei Nichtubereinstimmung, 

h) Wiederholung der Schritte d) bis g) mit den 
weiteren Teilen des Kryptogramms bis voll- 
stflndige Obereinstimmung vorliegt oder Ab- 
bruch erfolgte, M 

2. Verfahren nach Anspruch l, dadurch gekenn- 
zeichnet. daB die eine Zufallszahl in der einen Sta- 
tion erzeugt und in die andere gesendet wird und 
die andere Zufallszahl in der anderen Station er- 
zeugt und die eine gesendet wird. 55 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daB bei Abbruch des Authentifika- 
tionsvorgangs intern beide Stationen Zufallsfolgen 
weiter nach auBen ausgeben, so daB die Abbruch- 
stelle im Bitstrom auBen nicht feststellbar ist. M 

4. Verfahren nach einem der vorhergehenden An- 
sprOche. dadurch gekennzeichnet, daB die eine Sta- 
tion erne tragbare Datentrager- insbesondere cine 
Chipkarte. und die andere Station eine Schreib-Le- 
sestation isu 6J 

5. Verfahren nach einem der vorhergehenden An- 
sprQche, dadurch gekennzeichnet daB der tragbare 
Datentrager einen Fehlerzahler aufweist und daB 
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bei einer vorbestimmten Anzahl von Fehlern die 
Karte gesperrt wird. 

Hierzu 1 Seite(n)2eichn ungen 
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